Laten we het eens hebben over lekken, RD en de rol van hosters (deel1)

RD-1-wordle-640415Veiligheid en internet is iets waar dagelijks over wordt gepubliceerd. Het lijkt er wel eens op dat de ene helft van de meldingen oplossingen van vendoren betreft waardoor het internet enorm veiliger zal worden. De andere helft gaat over hacks, sabotage, spionage of chantage en laat daarmee zien dat internet als zodanig op dit moment onveilig is, zonder dat er zicht is op verbetering van die situatie.

Wie op More-IP de presentatie van Chris van ‘t Hof over “de helpende hackers” heeft bijgewoond, het boek inmiddels heeft gelezen dan wel zelf de nodige praktijkervaring heeft weet dat min of meer parallel hieraan ook nog een andere beweging gaande is. Dat kun je de helpende hackers noemen, maar ook de enthousiaste en actieve IT nerds die er – nadrukkelijk niet voor eigen gewin – op uit zijn lekken, fouten of risico’s te vinden en die te melden.

ISPtoday heeft over deze activiteiten en een aantal trends recent gesproken met @0xdude, hij geldt als de Nederlander die de meeste RD’s op zijn naam heeft staan. Het interview met @0xdude is lang en daarom hebben we er voor gekozen het in twee delen te publiceren. Er was trouwens een concrete aanleiding voor het gesprek: een privé website op een wankel shared platform en wat er bij kwam kijken dat gefixed te krijgen. Dat leidde tot de opmerking: “We moeten het nog maar eens hebben over lekken, RD en de rol van hosters.”

RD in vogelvlucht
Voor wie de kennis niet paraat heeft: van RD, Responsible Disclosure, is – in het kort – sprake als de persoon die een beveiligingsrisico bij een extern IT systeem aantreft dit volgens een bestaand protocol kan melden, zonder daarbij het risico te lopen voor cybercrimineel te worden uitgemaakt en te worden vervolgd. Waar de persoon zich precies aan heeft te houden, dat is ook beschreven. De website ResponsibleDisclosure.nl geeft hier de nodige informatie over en geldt in Nederland (en zelfs daarbuiten!) als objectieve leidraad.

De vertaling van een goed werkende RD zie je in de gewone pers als volgt staan: persoon met de twitternaam of schuilnaam ABC stelde bedrijf DEF op de hoogte van een lek. DEF reageert op tijd en na periode X maakt of ABC of DEF het ex-probleem – want dat is dan uiteraard al verholpen – bekend. Niet zelden foto’s van taarten of T-shirts gepubliceerd, want het versturen van een ludieke beloning is een soort van ongeschreven regel.

Tot zover de theorie, nu de praktijk.

Om te beginnen het eerste contact, je komt een lekke website tegen die in Nederland gehost wordt, wat doe je dan?
Als ik iets zie meld ik dat als eerste aan de hoster en vraag hem wat hij wil: hij mag de melding zelf doorgeven aan de website eigenaar, maar ik kan dat ook doen. Wat ik wil voorkomen is dat de melding twee keer wordt ingeschoten, dat wekt alleen maar verwarring. De meeste grotere hosters en ook IT bedrijven weten inmiddels van dit soort meldingen af, dus er wordt wel goed op gereageerd. Op deze manier voorkom ik ook in discussies te belanden wie waarvoor verantwoordelijk is. In Nederlands is het zo dat de hoster niet verantwoordelijk is voor de inhoud. Maar ik kom natuurlijk gevallen tegen die onder een managed contract kunnen vallen en waarbij de provider wellicht wel het eerste en juiste aanspreekpunt is.

Weten bedrijven van het bestaan van RD regels en protocollen af, hebben ze zelf al op de website staan hoe je een foutje kunt melden?
Ik merk duidelijk goede vooruitgang. Het helpt dat er aandacht aan wordt besteed door de pers en dat de overheid hier op wijst. Gevolg is dat in ieder geval bij de IT afdelingen en zelfs directies van grotere bedrijven dit punt geen uitleg meer behoeft. Bij kleinere bedrijven, en dat kunnen hosters en providers zijn, is nog wel uitleg nodig. Helemaal de klanten, die natuurlijk niet allemaal IT bedrijven zijn, hebben nog vaak geen weet van het bestaan van dit soort de regels en personen die dat melden. Zij weten niet altijd even goed wat er moet gebeuren. Of daar een rol voor de hosters is weggelegd? Nou ja dat is wel iets waar we over moeten nadenken. De sector mag sowieso het onderwerp hoger op de agenda zetten, want er komt wetgeving aan die best wel impact heeft”.

Bedoel je daarmee de wet datalekken?
Ja, per januari komend jaar moet je als ondernemer nog meer aandacht besteden aan de veiligheid van je systemen. Als er data weglekt of er een ernstig security incident is moet je dat melden. Het CBP heeft hiervoor een boetebevoegdheid, dus het wordt door de overheid serieus genomen.

Is er een link het de Duitse wetgeving waarover ISPtoday recent schreef?
Ja en nee. In Duitsland lijkt, zoals jullie schreven, de focus meer het beschermen van de vitale infrastructuren. In Nederland draait met meer om de bescherming van data die herleidbaar is naar personen. Er zijn wel overeenkomsten, onder andere de meldplichten en de mogelijkheid een boete te krijgen.

Waar moet de Nederlandse provider die Nederlandse websites host wat jou betreft extra op letten per 1 januari?
Nou laat ik voorop stellen dat je onverstandig bezig bent als je pas op 1 januari in actie komt. Veilige systemen zijn neem ik aan nu al top prioriteit. Dat is trouwens iets dat voor zowel de providers als de klant moet gelden. Nadenken over de rapportages hierover moet je echt wel voor volgend jaar hebben gedaan.

Over wat voor rapportages heb je het dan?
Bedrijven moeten per volgend jaar aan geven of ze te maken hebben gehad met een security incident. Dat betekent dat er een procedure moet zijn waar de meldingen worden ontvangen, wie dat doet en wie ze beoordeelt en hoe ze worden afgehandeld. Bedrijven die bijvoorbeeld ISO27001 of NEN7510 gecertificeerd zijn zullen deze procedures moeten integreren zodat het ook geaudit kan worden. Daarmee is het niet langer een onderwerp dat alleen de techniek betreft. Ook op C-level heeft die meldplicht denk ik de nodige consequenties.

Dus als we het goed begrijpen kan per volgend jaar bijvoorbeeld een partij die de managed services of datacenter faciliteiten biedt te maken krijgen met verzoeken om extra rapportages?
Ja dat is absoluut mogelijk. Als zijn klant het wil rapporteren, moet die input er wel zijn. En in het geval van managed services zou de provider daarvoor wel eens het eerste loket kunnen zijn. Hij zal informatie volgens afspraak moeten vergaren en doorzetten naar zijn klant. De provider heeft er dus ook alle baat bij hier over tijdig aan de bel te trekken bij zijn klanten, vooropgesteld dat hij dat nog niet gedaan zou hebben. Ik schat namelijk in dat de grotere aanbieders en afnemers hier al de nodige stappen hebben gezet.

(morgen deel twee van het interview met 0xdude)